SOC 2 Type II
Obtenez et maintenez la conformite SOC 2 Type II avec CyberOrigen.
Vue d'Ensemble
SOC 2 (Service Organization Control 2) est un cadre d'audit pour les prestataires de services stockant des donnees clients. Il evalue les controles bases sur cinq Criteres de Services de Confiance.
Criteres de Services de Confiance
Securite (Obligatoire)
Les Criteres Communs - obligatoires pour tous les audits SOC 2 :
| Categorie | Description |
|---|---|
| CC1 | Environnement de Controle |
| CC2 | Communication et Information |
| CC3 | Evaluation des Risques |
| CC4 | Activites de Surveillance |
| CC5 | Activites de Controle |
| CC6 | Acces Logique et Physique |
| CC7 | Operations Systeme |
| CC8 | Gestion des Changements |
| CC9 | Attenuation des Risques |
Disponibilite (Optionnel)
Pour les services avec engagements de disponibilite :
- A1.1 : Planification de capacite
- A1.2 : Protections environnementales
- A1.3 : Procedures de reprise
Integrite du Traitement (Optionnel)
Pour un traitement precis des donnees :
- PI1.1-PI1.5 : Precision des entrees/sorties
Confidentialite (Optionnel)
Pour la protection des donnees sensibles :
- C1.1-C1.2 : Classification et destruction des donnees
Vie Privee (Optionnel)
Pour le traitement des informations personnelles :
- P1-P8 : Principes de vie privee
Pour Commencer
1. Activer le Referentiel
- Allez dans GRC → Referentiels
- Cliquez sur S'inscrire sur SOC 2 Type II
- Selectionnez les criteres applicables
- Cliquez sur Activer
2. Evaluation de Reference
- Lancez une analyse de conformite
- Examinez l'analyse des lacunes
- Priorisez la remediation
3. Implementer les Controles
Utilisez la bibliotheque de controles de CyberOrigen :
- Allez dans GRC → Bibliotheque de Controles
- Filtrez par SOC 2
- Mettez a jour le statut d'implementation
- Assignez les proprietaires de controles
Controles Cles
CC6 - Acces Logique
Controles les plus frequemment testes :
| Controle | Exigence | Fonctionnalite CyberOrigen |
|---|---|---|
| CC6.1 | Controles d'acces | Analyse des problemes d'acces |
| CC6.2 | Enregistrement utilisateurs | Rapports de revue d'acces |
| CC6.6 | Revue des acces | Audits d'acces automatises |
| CC6.7 | Chiffrement | Analyse TLS/chiffrement |
CC7 - Operations Systeme
| Controle | Exigence | Fonctionnalite CyberOrigen |
|---|---|---|
| CC7.1 | Gestion des vulnerabilites | Analyse continue |
| CC7.2 | Reponse aux incidents | Workflow de remediation |
| CC7.4 | Sauvegarde/restauration | Verifications de configuration |
Collecte des Preuves
Preuves Automatisees
CyberOrigen genere automatiquement :
- Rapports d'analyse de vulnerabilites
- Verifications de configuration d'acces
- Verification du chiffrement
- Rapports de statut des correctifs
Preuves Manuelles
Telechargez ces documents :
- Politiques et procedures
- Proces-verbaux de reunion du conseil
- Registres de formation
- Journaux d'incidents
Mappage des Preuves
- Allez dans GRC → Preuves
- Telechargez ou liez les preuves
- Mappez aux controles pertinents
- Suivez le statut de collecte
Preparation a l'Audit
Checklist Pre-Audit
3 Mois Avant :
- [ ] Tous les controles implementes
- [ ] Collecte des preuves complete
- [ ] Tests internes effectues
- [ ] Lacunes remediees
1 Mois Avant :
- [ ] Preuves examinees
- [ ] Proprietaires assignes
- [ ] Acces auditeur configure
Acces Auditeur
Fonctionnalite Professional
Le Portail Auditeur necessite la formule Professional ou Enterprise.
Accordez un acces en lecture seule a l'auditeur :
- Allez dans GRC → Engagements d'Audit
- Creez un engagement
- Invitez l'auditeur
- Definissez les permissions d'acces
Generateur de Rapports
Generez des packages prets pour l'audit :
- Allez dans GRC → Generateur de Rapports
- Selectionnez le referentiel SOC 2
- Choisissez le type de rapport
- Exportez en PDF
Conformite Continue
Apres la certification, maintenez la conformite :
- Analyses de vulnerabilites hebdomadaires
- Revues d'acces trimestrielles
- Revues des politiques annuelles
- Collecte continue des preuves
Surveillance
CyberOrigen suit :
- Changements de statut des controles
- Expiration des preuves
- Tendances du score de conformite
- Remediation des resultats
Alertes
Configurez des alertes pour :
- Baisses du score de conformite
- Echecs de controles
- Expiration des preuves
- Rappels de periode d'audit
Lacunes Courantes
| Controle | Probleme Courant | Solution |
|---|---|---|
| CC6.1 | Pas de MFA | Activer MFA partout |
| CC6.6 | Pas de revues d'acces | Planifier des revues trimestrielles |
| CC7.1 | Systemes non corriges | Correctifs automatises |
| CC8.1 | Pas de controle des changements | Processus formel de changement |